Re: VPN + Openswan - no suitable connection for peer

To: debian-user-german@lists.debian.org
Subject: Re: VPN + Openswan - no suitable connection for peer
From: Markus Schulz <msc@antzsystem.de>
Date: Thu, 31 Mar 2005 01:34:32 +0200
Message-id: <[🔎] 200503310134.33020.msc@antzsystem.de>
In-reply-to: <[🔎] 0MKwh2-1DGhBm3mjm-0002lp@mrelayeu.kundenserver.de>
References: <[🔎] 0MKwh2-1DGhBm3mjm-0002lp@mrelayeu.kundenserver.de>

Hallo,

Am Mittwoch, 30. März 2005 19:43 schrieb Enrico Gusek:
> Hallo,
>
> ich bin grad (d.h. seit einer Woche) am verzweifeln mit einem Versuch
> eine VPN Verbindung zu erstellen. Habe schon vieles probiert und bin
> echt am verzweifeln. Die angefügte Konfiguration schien mir noch die
> besten Ergebnisse zu liefern, bei alle anderen Konstellationen brach
> der Vorgang immer etwas früher ab.

[...]

> Auszug aus der c:\Programme\IPsec\ipsec.conf (vom Client)
> =====================================================================
>======= conn Roadwarrior
>  left=%any
>  right=10.254.254.200
>  rightsubnet=10.254.0.0/24
>  rightca="C=DE, S=Saxony, L=Dresden, O=Enrico Gusek bIT, OU=WAN,
> CN=CA Enrico Gusek bIT"
>  network=lan
>  auto=start
>  pfs=yes

sieht aus meiner Erinnerung ganz gut aus. Ich habe aber keine Windows 
Clients mehr im Einsatz.

>
> Hier kommt alles vom Server
>
> Auszug aus der /etc/ipsec.conf
> =====================================================================
>======= ==================================
>

[...]

> # basic configuration
> config setup
>         interfaces=%defaultroute
>         #interfaces="ipsec0=eth0"
>         plutodebug=none
>         klipsdebug=none
>         uniqueids=no
>
>         #plutodebug="control"
>         #klipsdebug=none
>         #plutodebug=all
>         #klipsdebug=all
>
>
> conn %default
>         keyingtries=0
>         authby=rsasig
>         leftrsasigkey=%cert
>         rightrsasigkey=%cert
>         left=%defaultroute
>         #left=10.254.254.200
>         leftsubnet=10.254.0.0/24
>         leftid="C=DE, ST=Saxony, O=Enrico Gusek bIT, OU=WAN,
> CN=SVRVPN"

Hier liegt glaube ich das Problem.
Versuch mal anstatt mit 
leftid=<CN> 
besser
leftcert=dein_gate_cert.pem 
zu benutzen.
Du hast dir ja von deiner (selbsterstellten) root-ca (mindestens) zwei 
Zertifikate für Server und einen Roadwarrior (win-Client) erstellt und 
kannst (oder mußt sogar?) anstatt der ID auch direkt den Namen der 
Zertifikat-Datei vom Gateway angeben.
Deinen Logauszügen zufolge findet er nämlich keine Connection für die ID 
deines Win-Clients.

>
> conn Roadwarrior
>         right=%any
>         #right=10.254.254.155
>         type=tunnel
>         keyexchange=ike
>         pfs=yes
>         auto=add
>         #auto=start

sieht auch ganz gut aus.

> #Disable Opportunistic Encryption
> include /etc/ipsec.d/examples/no_oe.conf

kenn ich nicht.

 >
> Auszug aus ipsec whack --status
> =====================================================================
>======= ==================================
> svrvpn:/home/enrico# ipsec whack --status
> 000 interface lo/lo ::1
> 000 interface lo/lo 127.0.0.1
> 000 interface eth0/eth0 10.254.254.200
> 000 interface eth1/eth1 10.254.0.200
> 000 %myid = (none)
> 000 debug none
> 000
> 000 algorithm ESP encrypt: id=2, name=ESP_DES, ivlen=8,
> keysizemin=64, keysizemax=64
> 000 algorithm ESP encrypt: id=3, name=ESP_3DES, ivlen=8,
> keysizemin=192, keysizemax=192
> 000 algorithm ESP encrypt: id=7, name=ESP_BLOWFISH, ivlen=8,
> keysizemin=40, keysizemax=448
> 000 algorithm ESP encrypt: id=11, name=ESP_NULL, ivlen=0,
> keysizemin=0, keysizemax=0
> 000 algorithm ESP encrypt: id=12, name=ESP_AES, ivlen=8,
> keysizemin=128, keysizemax=256
> 000 algorithm ESP encrypt: id=252, name=ESP_SERPENT, ivlen=8,
> keysizemin=128, keysizemax=256
> 000 algorithm ESP encrypt: id=253, name=ESP_TWOFISH, ivlen=8,
> keysizemin=128, keysizemax=256
> 000 algorithm ESP auth attr: id=1, name=AUTH_ALGORITHM_HMAC_MD5,
> keysizemin=128, keysizemax=128
> 000 algorithm ESP auth attr: id=2, name=AUTH_ALGORITHM_HMAC_SHA1,
> keysizemin=160, keysizemax=160
> 000 algorithm ESP auth attr: id=5, name=AUTH_ALGORITHM_HMAC_SHA2_256,
> keysizemin=256, keysizemax=256
> 000 algorithm ESP auth attr: id=251, name=(null), keysizemin=0,
> keysizemax=0 000
> 000 algorithm IKE encrypt: id=7, name=OAKLEY_AES_CBC, blocksize=16,
> keydeflen=128
> 000 algorithm IKE encrypt: id=5, name=OAKLEY_3DES_CBC, blocksize=8,
> keydeflen=192
> 000 algorithm IKE hash: id=2, name=OAKLEY_SHA1, hashsize=20
> 000 algorithm IKE hash: id=1, name=OAKLEY_MD5, hashsize=16
> 000 algorithm IKE dh group: id=2, name=OAKLEY_GROUP_MODP1024,
> bits=1024 000 algorithm IKE dh group: id=5,
> name=OAKLEY_GROUP_MODP1536, bits=1536 000 algorithm IKE dh group:
> id=14, name=OAKLEY_GROUP_MODP2048, bits=2048 000 algorithm IKE dh
> group: id=15, name=OAKLEY_GROUP_MODP3072, bits=3072 000 algorithm IKE
> dh group: id=16, name=OAKLEY_GROUP_MODP4096, bits=4096 000 algorithm
> IKE dh group: id=17, name=OAKLEY_GROUP_MODP6144, bits=6144 000
> algorithm IKE dh group: id=18, name=OAKLEY_GROUP_MODP8192, bits=8192
> 000
> 000 stats db_ops.c: {curr_cnt, total_cnt, maxsz} :context={0,0,0}
> trans={0,0,0} attrs={0,0,0}
> 000
> 000 "Roadwarrior": 10.254.0.0/24===10.254.254.200[C=DE, ST=Saxony,
> O=Enrico Gusek bIT, OU=WAN, CN=SVRVPN]---10.254.254.254...%any;
> unrouted; eroute owner: #0

hier scheint aufgrund des fehlenden leftcert etwas zu fehlen oder ist 
bei OpenSwan unterschiedlich.
Dort sollte die CA erwähnt werden deren Zertifikate (deine Roadwarrior) 
aktzeptiert werden. Sieht etwa so aus:(stammt aus nem Log meiner 
FreeSwan Installation)
000 "roadwarrior":   CAs: 'C=DE, ST=Brandenburg, L=Cottbus, O=bla, 
OU=bla-CA, CN=xxx, E=xxx@xxx.de'...'%any'

> 000 "Roadwarrior":     srcip=unset; dstip=unset
> 000 "Roadwarrior":   ike_life: 3600s; ipsec_life: 28800s;
> rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0
> 000 "Roadwarrior":   policy: RSASIG+ENCRYPT+TUNNEL+PFS; prio: 24,32;
> interface: eth0;
> 000 "Roadwarrior":   newest ISAKMP SA: #0; newest IPsec SA: #0;
> 000
> 000
>
>

[...]

> Mar 30 20:17:46 svrvpn pluto[11639]: packet from 10.254.254.155:500:
> ignoring Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000004]
> Mar 30 20:17:46 svrvpn pluto[11639]: packet from 10.254.254.155:500:
> ignoring Vendor ID payload [FRAGMENTATION]
> Mar 30 20:17:46 svrvpn pluto[11639]: packet from 10.254.254.155:500:
> received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
> meth=106, but port floating is off
> Mar 30 20:17:47 svrvpn pluto[11639]: packet from 10.254.254.155:500:
> ignoring Vendor ID payload [Vid-Initial-Contact]
> Mar 30 20:17:47 svrvpn pluto[11639]: "Roadwarrior"[1] 10.254.254.155
> #1: responding to Main Mode from unknown peer 10.254.254.155
> Mar 30 20:17:47 svrvpn pluto[11639]: "Roadwarrior"[1] 10.254.254.155
> #1: transition from state STATE_MAIN_R0 to state STATE_MAIN_R1
> Mar 30 20:17:47 svrvpn pluto[11639]: "Roadwarrior"[1] 10.254.254.155
> #1: transition from state STATE_MAIN_R1 to state STATE_MAIN_R2
> Mar 30 20:17:47 svrvpn pluto[11639]: "Roadwarrior"[1] 10.254.254.155
> #1: Main mode peer ID is ID_DER_ASN1_DN: 'C=DE, ST=Saxony, O=Enrico
> Gusek bIT, OU=WAN, CN=eGusek'
> Mar 30 20:17:47 svrvpn pluto[11639]: "Roadwarrior"[1] 10.254.254.155
> #1: no suitable connection for peer 'C=DE, ST=Saxony, O=Enrico Gusek
> bIT, OU=WAN, CN=eGusek'

Das ist wohl der springende Punkt wie du sicherlich auch schon 
festgestellt hast. Er scheint nicht zu wissen das seine Roadwarrior 
Connection alle Zertifikate der eigens erstellten root-ca (geladen hat 
er die ja) aktzeptieren soll. 
Eventuell löst ja die oben erwähnte leftcert Einstellung.

-- 
Markus Schulz

Reply to:

References:
- VPN + Openswan - no suitable connection for peer
  - From: "Enrico Gusek" <debian-maillist@bit-dd.de>

Prev by Date: apt-get: Downloadgeschwindigkeit drosseln?
Next by Date: Re: apt-proxy in Sarge
Previous by thread: VPN + Openswan - no suitable connection for peer
Next by thread: Festplattengeometrie Kernel übergeben
Index(es):
- Date
- Thread